大河之犬的博客

Detect It Easy (DiE)是一款功能强大的文件类型识别工具，深受全球恶意软件分析师、网络安全专家和逆向工程师的喜爱。DiE 支持基于签名和启发式分析，可在包括Windows、Linux 和 MacOS在内的各种平台上高效地检查文件。FLARE 混淆字符串求解器使用高级静态分析技术自动从恶意软件二进制文件中提取和反混淆所有字符串。可以获取 Windows 可执行文件的信息，并进行恶意软件的识别。1、从恶意软件二进制文件中提取混淆的字符串。2、仅提取堆栈和紧密字符串。3、不提取静态字符串。

此工具能够浏览不同的 Docker 镜像块并检查哪些文件被修改/添加。红色表示添加，黄色表示修改。使用tab键切换到其他视图，使用space键折叠/打开文件夹。如果怀疑docker容器被破坏。当我们只有一个导出的 docker 映像（可能是。如果你发现某个文件，比如。

基线是对系统某些部分进行快照，例如，可以计算并存储文件系统中每个文件的哈希值，在遭到入侵后快速找出哪些文件被修改。在 Linux、Windows 或其他操作系统中，普通删除文件（如 rm、del）并不会真正清除数据，而只是标记文件为“已删除”，文件内容仍然存储在磁盘上，可以被数据恢复工具找回。禁用影子副本（VSS，Volume Shadow Copy）可以防止系统自动创建数据的备份，从而减少数据恢复的可能性。是 NTFS 文件系统的一部分，它会记录文件系统中的所有更改（如创建、删除、修改文件等）

很多人可能误以为使用代理就可以完全隐藏我们的真实IP地址，但实际并不总是这样。事实上，有大量文章指出，WebRTC存在安全风险，而WebRTC安全风险的可怕之处在于，即使你使用VPN代理上网，仍然可能会暴露自己的真实IP地址WebRTC（Web Real-Time Communications）是一项实时通讯技术，它允许网络应用或者站点，在不借助中间媒介的情况下，建立浏览器之间点对点（Peer-to-Peer）的连接，实现视频流和（或）音频流或者其他任意数据的传输。

不幸的是，如果用户没有输入正确的密码，或者伪造的应用程序配置了 2FA，这些信息将无法让您冒充被欺骗的用户。通过 VNC 的钓鱼攻击，不是将受害者发送到一个与原始页面外观相同的恶意页面，而是将他发送到一个与真实网页连接的浏览器的 VNC 会话。1、https://dnstwist.it/（使用的就是上面的dnstwist自动工具，生成变种域名列表）3、了解域名的注册时间，一般来说，越年轻的域名风险越大。4、通过查看域名对应的证书，利用证书来判断域名的真实性。1、首先，需要判断当前访问的域名是否是域名变体。

SSHFS是基于 FUSE 和 SSH 协议 实现的文件系统，允许通过 SSH 访问远程服务器上的文件，类似于本地目录操作。impacket-smbserver 是 Impacket 提供的轻量级 SMB 服务器，适用于渗透测试和快速文件共享。3、使用 Windows（受害者机器） 访问 SMB 共享。如果受害者有SSH，攻击者可以将受害者的目录挂载到攻击者。在受害者主机上执行如下命令，通过echo命令生成恶意的。1、使用 Kali 作为 SMB 服务器。2、使用 Samba 搭建 SMB 共享。

LinPEAS 是一个脚本，用于在 Linux/Unix/MacOS 主机上搜索提权路径。macOS 系统上的枚举工具。

推荐一个红队混淆框架：https://github.com/Bashfuscator/Bashfuscator。某些RCE接口限制了字符的长度，此时我们可以使用短字符 Bypass达到RCE的效果。IFS 是 shell 用来分隔字段的变量，默认是 空格、Tab 和换行符。执行whoami命令，如果第一个字符是s，则延迟5s。1、双重 Base64 编码隐藏反弹shell命令。取 HOME 变量的第一个字符，即。3、查看当前目录所有文件，但是。可以从环境变量获取字符，比如。5、利用未定义变量和。

Mimikatz是从lsass.exe中提取明文密码的，当无法在目标机器上运行Mimikatz时，我们可使用ProcDump工具将系统的lsass.exe进程进行转储，导出dmp文件，拖回到本地后，在本地再利用Mimikatz进行读取。而ProcDump本身是作为一个正常的运维辅助工具使用，并不带毒，所以不会被杀软查杀。

是一个合法Windows文件，用于管理Windows证书的程序。此合法Windows服务现已被广泛滥用于恶意用途渗透中主要利用其下载、编码、解码、替代数据流等功能可以在命令行用certutil -?

使用它你可以轻易的建立任何连接。要创建Powershell反向Shell，黑客需要在目标系统上运行一个恶意的Powershell脚本，该脚本将与攻击者的服务器建立连接。Powershell反向Shell是一种常用的攻击技术，用于在目标系统上建立与攻击者控制的远程服务器之间的连接。Perl反向Shell是一种利用Perl编写的恶意脚本，用于建立与目标系统的反向连接。在计算机网络上，OpenSSL 是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。

在执行过程中，调用者会暂时获得该文件的所有者权限,且该权限只在程序执行的过程中有效. 通俗的来讲,假设我们现在有一个可执行文件ls,其属主为root,当我们通过非root用户登录时,如果ls设置了SUID权限,我们可在非root用户下运行该二进制可执行文件,在执行文件时,该进程的权限将为root权限。SUID (Set UID)是Linux中的一种特殊权限，其功能为用户运行某个程序时，如果该程序有SUID权限，那么程序运行为进程时，进程的属主不是发起者，而是程序文件所属的属主。

定时任务（cron job）是Linux系统中的一个守护进程，用于调度重复任务，通过配置crontab可以让系统周期性地执行某些命令或者脚本。cron 是 Linux 系统中最为实用的工具之一，但是也可能被黑客用于提权操作。由于cron通常以root特权运行，如果我们可以修改其调度的任何脚本或二进制文件，那么便可以使用root权限执行任意代码。

但是，如果服务的二进制路径未包含在引号中，则操作系统将会执行找到的空格分隔的服务路径的第一个实例。溢出提权攻击的基本原理是，通过向目标系统发送过长的输入数据，超出了程序所分配的缓冲区大小，导致溢出。如果我们对以高权限运行的任务所在目录具有写入权限，就可以使用恶意程序覆盖掉原来的程序，那么任务定时执行的时候会自动执行我们的提权脚本。假如存在漏洞路径，我们可以将木马放到上面的路径下，然后重启机器，此时，反弹回来的shell，则是一个system的shell。直接查看导出文档的任务名：上例为。

如果在进程尝试加载一个DLL时没有指定DLL的绝对路径，那么Windows会尝试去指定的目录下查找这个DLL；如果攻击者能够控制其中的某一个目录，并且放一个恶意的DLL文件到这个目录下，这个恶意的DLL便会被进程所加载，从而造成代码执行。运行gpedit.msc进入本地组策略，通过Windows设置的“脚本(启动/关机)”项来实现。通过修改注册表自启动键值，添加一个木马程序路径，实现开机自启动。例如粘滞键后门：（辅助任务后门同理，采用替换exe的方式）极具隐蔽性，因此常常被攻击者利用来做服务器后门。

Windows操作系统提供了一个实用程序 (schtasks.exe) ，使系统管理员能够在特定的日期和时间执行程序或脚本。这种行为可作为一种持久性机制被red team利用。通过计划任务执行持久性不需要管理员权限，但如果已获得提升的权限，则允许进一步操作，例如在用户登录期间或在空闲状态期间执行任务。

Mafix是一款常用的轻量应用级别Rootkits，是通过伪造ssh协议漏洞实现远程登陆，特点是配置简单并可以自定义验证密码和端口号。通过命令替换动态跟踪系统调用和数据，可以用来记录用户ssh、su、sudo的操作。strace不只是可以监听连接他人，还可以用来抓到别人连入的密码。此时我们任何使用ssh登录或者切换用户的操作，密码都会被记录到。文件中，这种方法的缺点是生成的log文件特别大，且容易引起怀疑。其中111111为你连接后门程序时的密码，7777为连接的端口。会获取一个root的shell。